Windows Update’de sessiz bir güvenlik değişikliği gerçekleşti.

Microsoft, uzun süredir Windows ekosisteminde faaliyette bulunan, ancak kritik bir güvenlik bileşeni olan Secure Boot için resmi olarak yenileme sürecine girdi. İlk kez 2011 yılında uygulamaya alınan dijital sertifikalar güncelleniyor. Bu güncelleme, direkt olarak Windows Update üzerinden dağıtılmakta olup, belirli sistemlerde ek donanım yazılımı güncellemesi gerektirebilir. Eski sertifikaların artık güvenlik açısından yetersiz kabul edilmesi, bu değişimin temel sebebidir.

Secure Boot, Windows’un açılış aşamasında yalnızca imzalı ve güvenilir yazılımların çalışmasına izin veriyor. Bu sayede, işletim sistemi yüklenmeden önce zararlı yazılımların devreye girmesi önleniyor. Microsoft, bu güvenlik mekanizmasını zaman içinde geliştirdi ve artık Windows 11 yüklemesi için bir gereklilik haline geldi. Ayrıca, rekabetçi çok oyunculu oyunlarda kullanılan anti-cheat sistemleri de Secure Boot’a bağımlıdır; örneğin Valorant, Call of Duty: Black Ops 6, Call of Duty: Black Ops 7 ve Battlefield 6 bu sistemlerden bazılarını kullanıyor.

Microsoft’un belirttiğine göre, yeni sertifikalar yüklenmediğinde sistemler çalışmaya devam ediyor. Ancak bu durumda Windows “azaltılmış güvenlik” seviyesine geçiyor ki bu da gelecekteki önyükleme tabanlı güvenlik güncellemelerinin uygulanamayacağı anlamına geliyor. Başka bir deyişle, daha eski Windows bileşenlerini hedef alan zararlı yazılımlar karşısındaki koruma katmanı giderek zayıflıyor.

Bu durum, özellikle uzun süre güncellenmeyen bilgisayarlar için büyük önem taşıyor. Microsoft, destek kapsamı dışındaki Windows sürümlerinin bu yeni Secure Boot sertifikalarına erişemeyeceğini net bir şekilde ifade ediyor. Güncelleme yalnızca Windows 11 sistemler ve Genişletilmiş Güvenlik Güncellemeleri (ESU) kapsamındaki Windows 10 bilgisayarlar için geçerli. Bu bağlamda, işletim sistemi tercihi doğrudan güvenlik seviyesi ile bağlantılı hale gelmektedir.

Microsoft, Sertifika Değişimini Neden Şimdi Başlatıyor?

Microsoft’un bu yenilemesi, tek seferlik bir adımla kalmayacak. Şirket, kriptografik güvenliğin zamanla değiştiğini ve sertifikaların belli aralıklarla güncellenmesi gerektiğini vurguluyor. Eski sertifikalar, yeterince güçlü görünseler bile, modern saldırı yöntemlerine karşı zayıf bir nokta haline gelebiliyor. Bu nedenle mevcut sertifikalar devreden çıkarılmakta ve yeni anahtarlar sisteme entegre edilmektedir.

Dağıtım süreci büyük ölçüde otomatik olarak ilerlemekte. Kullanıcılar, Windows Update’i kontrol ederek yeni Secure Boot sertifikalarını içeren güncellemeyi kolayca görebilir. Fakat bazı sistemlerin anakart ya da cihaz üreticisinin sağladığı bir UEFI/BIOS güncellemesine ihtiyaç duyabileceği de unutulmamalıdır. Microsoft, bu aşamada Dell ve HP gibi büyük üreticilerle işbirliği yaptığını ve geçiş sürecini sorunsuz hale getirmek için koordinasyonun sağlandığını iletiyor.

2024 yılında piyasaya sürülen birçok yeni bilgisayar güncel Secure Boot sertifikalarıyla birlikte satışa sunuldu. Şirket, geçtiğimiz yıl sevk edilen cihazların neredeyse hepsinde bu sertifikaların mevcut olduğunu belirtiyor. Kurumsal düzeyde, BT ekipleri bu güncellemeler hakkında daha önce bilgilendirildi ve geçiş planları buna göre oluşturuldu.

Önümüzdeki aylarda kullanıcılara Windows Security uygulaması üzerinden Secure Boot sertifikalarının durumu daha detaylı olarak takip edilebilecek. Böylece sistemde hangi sertifikanın aktif olduğu ve güncellemenin uygulanıp uygulanmadığı net olarak görülebilecek.